Pourquoi les régulateurs se soucient moins d'avoir raison et plus de comprendre pourquoi vous avez tort

Une fois confinés aux discussions sur la précision biométrique, le Taux d’Acceptation Faux (FAR) et le Taux de Rejet Faux (FRR) sont silencieusement devenus certains des indicateurs les plus importants dans l’intégration numérique et la vérification d’identité (KYC). Ils décrivent désormais une réalité plus large : la fréquence à laquelle les décisions automatisées d’intégration se trompent, et dans quelle direction.

Dans le contexte réglementaire britannique et européen, le FAR et le FRR ne sont plus de simples notes techniques. Ils se situent à l’intersection de la prévention de la criminalité financière, de l’équité envers le client, de la stratégie de croissance et de la résilience opérationnelle – des préoccupations que la FCA a élevées via le devoir du consommateur, tandis que les superviseurs européens tels que BaFin, l’ACPR et l’EBA ont renforcé à travers des cadres AML améliorés et le Digital Operational Resilience Act (DORA). Lors de l’intégration et de la vérification d’identité, le FAR représente des clients qui n’auraient jamais dû entrer dans le système : imposteurs, identités synthétiques, personnes sanctionnées ou mules d’argent. En revanche, le FRR concerne des clients légitimes qui sont incorrectement rejetés, retardés ou poussés à l’abandon.

Ces erreurs ne sont pas équivalentes. Un acceptation fausse lors de l’intégration crée un risque persistant en matière de lutte contre le blanchiment d’argent (AML) et de supervision, coûteux à remédier, notamment car la finance britannique et la Fédération bancaire européenne continuent de signaler d’importantes pertes dues à la fraude liées à l’utilisation abusive de comptes et à la fraude d’identité dans le secteur. Un rejet faux, quant à lui, génère principalement des risques liés à la croissance, à la conduite et à l’inclusion, mais ceux-ci sont de plus en plus scrutés par les régulateurs dans les canaux entièrement numériques. Au Royaume-Uni, cela se voit à travers le prisme du devoir du consommateur et ses résultats, et en Europe via l’évolution des cadres de protection des consommateurs.

Les banques de détail exclusivement numériques ont tendance à faire face à un compromis FAR/FRR plus aigu que les grandes banques multi-canaux. La dépendance à l’intégration à distance comme principal point d’entrée client, combinée à une activation rapide des comptes et à la fonctionnalité transfrontalière, augmente à la fois l’exposition à la fraude organisée et le coût des acceptations fausses.

En réponse, les banques numériques opèrent souvent avec des seuils d’intégration plus stricts et une tolérance plus élevée pour les rejets faux, notamment lors des phases de croissance. Les grandes banques multi-canaux, soutenues par des données clients héritées, des points de contact diversifiés et des processus de remédiation établis, peuvent absorber des niveaux plus élevés de friction numérique, même si les attentes réglementaires convergent de plus en plus entre les types d’institutions.

Ce que les régulateurs veulent vraiment voir

Les superviseurs britanniques et européens ne prescrivent pas de niveaux acceptables de FAR ou FRR. Ils recherchent plutôt des preuves que les institutions comprennent le compromis qu’elles font, gèrent délibérément les seuils d’intégration, surveillent les erreurs et les dérives dans le temps, maintiennent la responsabilité lorsque les décisions sont automatisées ou externalisées, et peuvent expliquer comment le préjudice client est identifié et atténué. Dans ce contexte, le FAR et le FRR servent de preuves à l’appui, et non d’objectifs d’optimisation.

Dans le contexte européen, ce principe de responsabilité est particulièrement marqué. L’EBA a constamment renforcé, via ses lignes directrices sur les facteurs de risque AML/CFT, que les institutions ne peuvent déléguer leur responsabilité en matière de diligence raisonnable client, même lorsqu’elles utilisent des systèmes automatisés ou des prestataires tiers. DORA formalise davantage cela à travers son cadre de gestion des risques liés aux TIC de tiers, exigeant que les entités financières maintiennent une supervision et un contrôle complets sur les fonctions opérationnelles critiques – y compris la vérification d’identité et l’intégration – indépendamment des arrangements d’externalisation. Les superviseurs nationaux, comme BaFin et l’ACPR, ont également souligné dans leurs communications de supervision que la prise de décision algorithmique en AML et intégration doit rester entièrement gouvernée, explicable, et sous contrôle humain, avec l’obligation pour les institutions de démontrer une surveillance continue des performances et des taux d’erreur des systèmes automatisés.

Les institutions matures relient explicitement le FAR et le FRR de l’intégration à leur Cadre d’Appétit pour le Risque. Cela implique d’établir une faible tolérance pour les erreurs d’intégration liées à de graves crimes financiers, tout en définissant des niveaux acceptables de rejet, d’abandon et de revue manuelle. Il faut des règles claires pour les dérogations et les contrôles compensatoires, ainsi qu’une visibilité au niveau du conseil sur les compromis effectués. Les institutions qui articulent clairement ces choix – qu’elles soient régulées par la FCA, BaFin, De Nederlandsche Bank ou d’autres autorités compétentes – ont tendance à avoir des conversations réglementaires beaucoup plus fluides que celles qui considèrent le FAR et le FRR comme de simples artefacts techniques.